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Procede de generation d'une permutation pseudo-aleatoire d'un mot 

comportant N digits 

. L'invention a pour objet un procede de caicul pseudo-aleatoire d'une 

5 permutation d'un mot comportant N digits. Le domaine de l'invention est celui 
de la cryptographie.-Plus particulierement le domaine de I'invention-est celui — 
de la cryptographie appliquee au cryptage de mots composes de digits. 

yn-but-de-Wnvention est-de -permettre -le eryptage-robuste-d^nmot — 
compose de N digits, N etant compris dans I'intervalle [7, 30]. 

10 Un autre but de l'invention est de fournir un cryptage rapide d'un mot 

compose de N digits, N etant compris dans I'intervalle [7, 30]. 

Un autre but de l'invention est de determiner une permutation pseudo- 
aleatojre robust e dans un ensemble de cardinal10 N , ce cardinaln'est don e 
pas une puissance de 2. 
15 Un autre but de l'invention est de realiser le chiffrement d'identifiants 

bases sur I'emploi de digits, comme par exemple des numeros de telephone. 

Un autre but de l'invention est de generer une chame de N digits qui 
soit pseudo-aleatoire, e'est a dire que pour une personne qui ne connaTt pas 
la cle secrete qui a ete utilisee pour generer cette chaine, cette chame n'est 
20 en pratique pas distinguable d'une chame reellement aleatoire. 

Un autre but de l'invention est de produire des chames de N digits 
telles que le processus de production garantisse que la meme chaine ne 
sera pas produite deux fois. 

Dans I'etat de la technique, on entend par bit une grandeur pouvant 
25 prendre la valeur 0, ou la valeur 1 . Ces deux valeurs sont physiquement 
representees, dans un ordinateur ou une memoire, par un signal electrique 
pouvant prendre 2 valeurs, I'une associee a 0, I'autre associee a 1. Un mot 
binaire est une succession ordonnee de bits. 

Un digit est une grandeur pouvant prendre I'une des valeurs suivantes 
30 0,1, 2, 3, 4, 5, 6, 7, 8, 9. Un digit peut etre code par des bits.Alors, dans ce 

cas, a-chaque digit correspond un mot binaire. En general- ee-mot-binaire est 

long de 4 bits, mais il peut s'agir^d'un mot binaire long de 8 bits (code ASCII) 
ou plus. Un mot en digits est une succession ordonnee de digits. 
Une permutation est une bijection sur un ensemble fini. 
35 ° n nomme «permutation pseudo-aleatoire» une permutation qui est 
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generee par un programme informatique assez simple a calculer a partir 
d'une cle secrete K, ayant la propriete suivante : une personne qui ne 
connaTt pas la cle K est en pratique incapable de distinguer une telle 
permutation d'une permutation reeliement aleatoire (avec les memes tailles 
d'entree et de sortie), car le nombre de calculs a faire pour les distinguer par 
les methodes connues est superieur a ce qui-est faisable defagon realister 



Actuellement, on considere que s'il faut faire 2 80 calculs elementaires 
(ou plus) pour-resoudre un- problemer-ee-nembre de calculs est-tFep-grand- 



pour des attaquants eventuels. 
10 Dans I'etat de la technique on connaTt des permutations dans des 



ensembles dont le nombre d'elements est une puissance de 2. On connaTt 
aussi des tentatives pour adapter ces permutations a des ensembles dont le 
nombre d'elements n'est pas u ne pu issance de 2. Une telle techniq ue, pour 



v 



chiffrer les elements d'un ensemble E comportant n elements, consiste a 
15 utiliser une permutation P travaillant sur un sur-ensemble SE de E 

comportant un nombre d'elements en puissance de 2. Pour determiner Ck(x), 

c'est-a-dire le cryptage de x appartenant E avec ia cle k, on commence par 

calculer le n-uplet V, avec 

V = { Pk(i) }, ou i decrit E. 
20 Comme tous les elements de V sont differents, on produit un n-uplet 

W en remplagant chaque element de V par le rang de cet element dans oV, * ) f 

ou oV est le n-uplet V ordonne. Alors on obtient que Ck(x) est le x-ieme *'f 

element de W. 

Un inconvenient de cette methode est que pour chiffrer/dechiffrer un r 
25 mot T il faut chiffrer/dechiffrer tous les mots de Tensemble de depart. Cela 
conduit a des temps de calcul importants et prohibitifs. De tels calculs 
prennent en effet beaucoup de temps ce qui reduit les temps de reponses 
d'un serveur, dans une application client serveur. Si le client est un appareil 
portable autonome tel qu f un telephone mobile, et que le client doive mettre 
30 en oeuvre un tel procede, cela est encore plus prejudiciable car le client 

— dispose de moins de-puissance de-calcukqu-un-serveur. 

Une autre methode connue. pour realiser une permutation d'un 
ensemble E comportant un nombre d'elements n'etant pas une puissance de 
2 est de considerer un sur-ensemble SE de E, ou SE comporte un nombre 
35 d'elements etant une puissance de 2, et une permutation P de Tensemble 
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SE. Mors Ck(x), c'est-a-dire le chiffrement~de x pour une cie k, est obtenu 
par 1'algorithme recursif suivant: 
Algorithme Ck(x) 
y = Pk(x) 

5 si y est dans E alors renvoyer y 

sinon renvoyer Ck(y)~ 

fin 

La faiblesse-de-eette-met+iode-resideHElans-te-temps de- convergence 

de 1'algorithme utilise. En effet, il peut arriver qu'il faille effectuer beaucoup 
10 de calculs et dans ce cas le temps de calcul dev ient prohibitif. 

Dans I'etat de la technique on connaTt d'autres solutions de 
chiffrement non basees sur des permutations, c'est-a-dire non basees sur 

- dps bijections. Cependant dans la mesure ou I'on ch erche a effectuer un 

cryptage reversible il faut s'assurer que le resultat d'un chiffrement est 
15 unique. Ainsi, actuellement, dans certaines applications, certains industriels 
ou operateurs, pour garantir I'unicite du chiffrement stockent depuis des 
annees toutes le chames de digits generees. lis peuvent ainsi s'assurer que 
chaque chaine est nouvelle car s'ils generent une chame deja utilisee, ils le 
detectent et ne mettent pas cette chaTne a nouveau en circulation, mais 
20 generent une autre chaTne. Mais un tel procede est couteux et se revele a la 
longue peu commode car il faut vite disposer de beaucoup de memoire, et 
avoir des moyens de sauvegarde importants et rapidement accessibles dans 
des locaux tres securises. De plus le nombre de calculs a faire croit avec le 
nombre de valeurs deja generees, et done croTt avec le temps. 
25 En particulier, ces trois solutions ne presentent pas de bonnes 
performances pour ce qui est de generer des permutations sur des numeros 
de type carte bleue ou des numeros de telephone. En effet, le nombre de 
calculs a effectuer peut etre prohibitif et la securite cryptographique non 
assuree. Au lieu de ces trois solutions, il est possible d'utiliser un generateur 
30 de permutations pseudo-aleatoires sur des digits, comme nous allons le 
decrire. Le fait que -deux- -fois-la- meme -valeur~ne- soit pas -generee- sera- 



garanti par le caractere bijectif du generateur_(il genere des permutations). 

Actuellement toutes les fonctions cryptographiques standards, en 
cryptographie a cle secrete, prennent en entree un certain nombre de bits, et 
35 donnent en sortie un certain nombre de bits. C'est le cas par exemple de la 
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"fonctfon SHA-1, de la fonction DES, de la fonction AES,... . Or dans 
certaines applications industrielles, par exemple en telephonie, on souhaite 
avoir en entree et en sortie non pas un certain nombre de bits, mais un 
certain nombre de digits. Pour cela une solution serait de reecrire des 
5 fonctions specifiques, mais leur etude peut prendre beaucoup de temps, et 

elles-auront forcement ete beaueoup-moins analysees par la communaute 

cryptographique international. Ou bien, selon Hnvention, Ton peut construire 

des-sehemas qui vont avoir-des-entrees-et-des-serties- sur- -des -digits^ mais 

qui vont utiliser en interne des fonctions cryptographiques classiques sur des 
10 bits pour assurer la securite. C'est une telle methode, pour un probleme 
particulier, qui est mise en ceuvre ici. 

Pour une meilleure apprehension du sujet et de I'objet de la presente 

invention, il est ici succinctement rap pele q uelq ues not ions relatives aux 

schemas de Feistel. Tout d'abord, definissons ce que Ton nomme un schema 
15 de Feistel. * 
Soit n un entier naturel. Notons l n = {0, 1} n Pensemble des chames de ■ 

n bits. 

Soit f| une fonction quelconque de l n vers l n . 
Soient G et D deux elements de l n . 
20 On note [G, D] ('element de I 2n dont les n premiers bits valent G, et les 

n suivants valent D. 

On note la bijection de l 2n vers l 2n telle que : pour tout [G, D] de 
l 2n , et pour tout [U, V] de l 2n , \|/(fi)[G,D] = [U, V] si et seulement si : 
S = D et T = G ® fi(D), 
25 ou ® designe Toperation «XOR» (ou addition bits a bits modulo 2). 

est bien une bijection, car la fonction inverse est la fonction g 

telle que : 

g[U, V] = [T®f 1 (S),S] = [G l D]. 

Enfin, T etant un entier, que Ton nommera le nombre de tours du 
30 schema de Feistel, et fj, f 2 ,..., h etant T fonctions de l n vers l n , que Ton 

- nommera -les T fonctions de tours 7 -on-note--y^ suivante 

de l 2n vers l 2n : 

y(fi,f2,...f-r) = V(fr) ° V(f2> ° 
ou o designe la loi de composition des fonctions. 

35 La bijection \|/(fi,f 2 ,...fT) est nommee « schema de Feistel en T tours ». 
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Definissons a present ce que* I'on nomme uh schema de Feistel 
generalise. L'idee qui sous-tend cette forme differente du schema de Feistel 
est la suivante. Au lieu de couper en deux parties egales de n bits, afin 

d'obtenir 2n bits, on peut plus gen eralemen t a chaque tour couper en une 

5 partie de a bits, et une autre de b bits, avec a + b = N ( N : etant dans ce cas 
le nombre total de bits de I'entree et deHa-sortie^ ll est egalement possible 
de faire varier a et b suivant le numero i de tour, les valeurs de a et b variant 

selon-Ies-tours seront -notees-aj et-bj^0i^obtient-alors-ce-que4'on-nomme un 

schema de Feistel generalise. Cette definition peut etre precisee comme ci- 

-J-?_ dessous : 

n etant un entier naturel quelconque, on note toujours l n = {0, 1} n 
I'ensemble des chaTnes de n bits. 

Soient a, b et n trois entie rs naturels tels q ue : a + b = rr 

Soit fi une fonction quelconque de l b vers l a . 
1 5 Soit G un element de l a , et D un element de l b . 

On note [G, D] ('element de l n dont les a premiers bits valent G, et les 
b suivants valent D. 

On note y'(fi) la bijection de l n vers l n telle que : pour tout [G, D] de l n , 
et pour tout [U, V] de l n , y'(U)[G, D] = [U, V] si et seulement si : 
20 U = G © fi(D), et V = D 

ou e designe I'operation «XOR» (ou addition bits a bits modulo 2). 

Et X etant la fonction qui fait une rotation sur les bits de a bits (le 
nouveau premier bit est I'ancien <a+1f me bit, le nouveau deuxieme bit est 
I'ancien (a + 2) feme bit etc.), on note : 
25 v(fi) = Xo ¥ '(fi) 

Enfin, T etant un entier, que Ton nommera le nombre de tours du 
schema de Feistel generalise, et f it . 1 < i < T etant T fonctions de l bi vers l ai , 
que Ton nommera les T fonctions de tours, on note \j/(f,, f 2 ,...f T ) la bijection 
suivante de l 2n vers l 2n : 
30 V(fi.f2,...f-r) = \|/(f T )... o v (f 2 )o ^(f!), 

^ou_o_designe la loi de composition des fonctions ■_ 

La bijection y(fi, f 2 ,...f T ) est nommee «schema._de_Feistel generalise 

en T tours ». 

II peut etre egalement ici envisage des cas particuliers de schemas 
35 de Feistel generalises, par exemple alternant a bits et b bits. Ainsi, il est 
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aussi possible de faire alterner des fonctions qui changent a bits, et des 
fonctions qui changent b bits comme presente ci-dessous. 

Ainsi par exemple, tous les tours impairs on pourra avoir une 
transformation du type : 

\j/(fi)[G,D] = [U, V] si et seulement si : 

U= G © fj(D) et V = D, ou fj est une fonction de ltrvers l a , 

et tous les tours pairs on pourra avoir une transformation du type : 

y(fj)[GrD]=-[U— V] si et seulement-sk 

U = GetV=D© fj(G), ou fj est une fonction de l a vers l b . 

Dans ('invention on resout ces problemes e n utili sant un schema de 

Feistel generalise. Le schema de Feistel generalise utilise est un schema 
comportant au minimum 5 tours, et dans un exemple prefere 6 tours. Une 
meilleure resistance a l f analyse cryptogra phique est ce pendant parfois 
obtenue avec un nombre de tours plus eleve. Aussi on peut aller jusqu'a un 
nombre de 30 tours pour rester dans des temps de calcul compatibles avec; t 
des temps de reponse d'un systeme mettant en oeuvre Tinvention. Les 
fonctions de tour du schema de Feistel generalise prennent en entree a digits 
et donnent en sortie b digits. Elles sont realisees de la fagon suivante, 
sachant que ces fonctions doivent travailler sur des mots binaires : 

1 . on calcule un mot binaire A a partir de ces b digits, d'une cle K- 
et du numero i de tour, il s'agit par exemple ici d'une simple conversion . 
en binaire de la concatenation de ces valeurs, 

2. on calcule B=f(A), ou f est une fonction a sens unique sur des 
bits, cette etape est en general I'etape la plus importante pour la 
securite du fait du caractere a sens unique de la fonction f, 

3. on calcule C=g(B), ou g est une fonction qui prend en entree 
un mot binaire et donne en sortie un mot comportant a digits, il s'agit 
par exemple ici d'une simple conversion en digits d'un mot binaire, on 
prendra souvent pour I'etape 2 une fonction f telle que B a exactement 
le format adapte a une telle conversion directe. 

Ainsi,-les mots binaires-de sortie de-fonetions-de -tour-sont-transformes 

en digits. Une telle fonction de tour est, par exemple, bas.ee. sur Palgorithme 
de hachage SHA-1 (Secure Hash Algorithm, pour algorithme de hachage 
securise). On obtient par cette construction une permutation pseudo- 
aleatoire dans un ensemble d'elements composes de digits. La permutation, 
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c'est-a-dire le caractere bijectif, est garantie par construction, par ('utilisation 
d'un schema de Feistel. L'aspect pseudo-aleatoire est lui garanti car aucune 
attaque cryptographique connue ne vient a bout de ce mode de chiffrement 
du fait que Ton utilise ici au moins 5 tours. 

L'invention a done pour objet un procede de generaforTlj'une 
-permutation pseudo-aleatoire d'un mot comportant-N digits-dans-lequel: 

- on met en ceuvre un schema de Feistel (202-205) generalise, 

- earaeterise en ee-quef 

- les fonctions de tours du schema de Feistel generalise mis en ceuvre 
sont de s fonctions (Fi) telles que : 

- les mots d'entree des fonctions de tours sont produits par la 
conversion de mots en digits en mots binaires, 

: pu[ssur ces mots bjnaires est ap pliquee une fonction a sens 

unique, 

- enfin, la sortie en digits est une fonction de ces mots binaires. 

- on lit dans une memoire (104) un mot en digits a chiffrer, 

- le schema de Feistel generalise utilise comporte au moins T = 5 

tours. 

L'invention sera mieux comprise a la lecture de la description qui suit 
et a I'examen des figures qui I'accompagnent. Celles ci sont presentees a 
titre indicatif et nullement limitatif de l'invention. Les figures montrent : 

- Figure 1: une illustration de moyens utiles a la mise en ceuvre du 
procede selon l'invention ; 

- Figure 2 : une illustration d'etapes du procede selon l'invention. 

De maniere generate, les actions decrites sont entreprises par un 
dispositif comportant un microprocesseur et une memoire comportant des 
codes instructions pour commander ce microprocesseur. Ces codes 
instructions correspondent a la mise en ceuvre des etapes du procede selon 
l'invention. Un mot, qu'il soit binaire ou en digits, est une representation 
electrique, ou encore un signal electrique, d'une grandeur dans une memoire 
-ou- un- registre^-Lorsque I'on prete une action a-un -appareiVeelle-ei est 
realisee par un microprocesseur de cet appareil commande parades _ codes 
instructions enregistres dans une memoire de cet appareil. 

La figure 1 montre un appareil 101 mettant en ceuvre le procede selon 
l'invention. Les etapes du procede selon l'invention sont done mises en 
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oeuvre par Tappareil 101. Un tel appareil est dans la pratique un serveur d'un 
operateur d'un reseau de telecommunications. Cependant, le precede selon 
Tinvention peut etre mis en oeuvre par tout dispositif ou systeme 
„ correspondant a la figure 1 . Pour Texemple^ on __cite_ comme 'appareil 
5 susceptible de mettre en oeuvre le procede selon Tinvention: un telephone 

mobilerun-assistant personnel, un ordinateur quMhsoit-portable— fixe, ou en 

rack... la liste n'est pas exhaustive. 

ta^figure— 1-montre que rappareiMQ-l-eomperte-un-mierepreeesseur- 

102, une memoire 103 de programme, une memoire 104 de mot en digits 

10_ d' entree, une m emoire 105 de mot en digjts de sortie, une memoire 106 de 

cle, une memoire 107 de nombre de tours, et des circuits 108 interface. Les 
elements 102 a 108 sont interconnects par un bus 109. 

Sur la figure 1 les memoires 103 a 107 so nt representees comm e des 

memoires separees. Dans la pratique ces memoires peuvent tres bien n'etre 

15 qu'un seul et meme composant memoire, ou un composant memoire et des 
registres d'un circuit specialise (ASIC). 

La memoire 104 permet d'enregistrer un mot en digits qui doit etre 
chiffrer/crypter par le procede selon Tinvention. La memoire 105 permet 
d'enregistrer le resultat du chiffrement, par le procede selon Tinvention, du 

20 mot enregistre dans la memoire 104. La memoire 106 permet d'enregistrter . 
une cle utilisee par le procede de chiffrement selon Tinvention. La memoire 
107 permet d'enregistrer le nombre de tours du schema/reseau de Feistel du, 
procede selon Tinvention. 

La memoire 103 est divisee en plusieurs zones correspondant a 

25 differentes fonctions mises en oeuvre par le microprocesseur 102. Une zone 
103a comporte des codes instructions correspondant a la mise en oeuvre 
d'un schema de Feistel. Une zone 103b comporte des codes instructions 
correspondant a la mise en oeuvre d'une fonction de hachage, dans notre 
exemple SHA-1. Une zone 103c correspond a la mise en oeuvre de fonctions 

30 de communication, plus particulierement les codes instructions de la zone 

-103c-permettent-de commander les -circuits -108T-Une-zone-103d-comporte 

des codes instructions pour la mise en oeuvre d'une fonction de tour.. 

La memoire 103 comporte d'autres zones, de travail et de stockage, 
non representees sur la figure 1. 

35 Les circuits 108 permettent de connecter Tappareil 101 a des 
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dispositifs exterieurs, comme un reseau, un clavier, un ecran. C'est via ces 
circuits 108, et ies codes instructions de la zone 103c, qu'il est possible de 
lire et/ou d'ecrire dans Ies memoires 104 a 107 qui sont aussi des memoires 

de parametrage/configuration du procede selon I'invention. ~~ 

5 La figure 2 illustre le fonctionnement d'un schema de Feistel 

- -generalise selon I'invention. La figure-2-montre une -etape-20-1-preliminaire 
dans laquelle un utilisateur saisit le mot en digits que Ton souhaite chiffrer. 
Gette-saisie^3onsiste-a-eerire-le-mot-IVLen digits-a-ehifffer-dans-4a-memoire- 
104. Dans I'etape 201 I'utilisateur renseigne aussi le contenu de la memoire 
_ .___12__1 06_de_^ ainsi que le contenu de la mem oire 107 de nombre de to urs. La 
mise a jour de ces memoires se fait via Ies circuits 108. 

On passe alors a la premiere etape du procede de chiffrement 

proprement dit, il s'aqit d'une etape 2 02 de decou pag e et de conversio n du 

mot M en digits en deux mots GO et DO binaires. Ce decoupage est tel que M 
15 = [GO, DO]. Par construction et definition, GO est la partie gauche de M et DO 
est la partie droite de M. Nous considerons pour I'exemple que M comporte 
10 digits, c'est-a-dire que N vaut 10. Dans le cas d'un schema de Feistel 
standard le mot a chiffrer est decoupe en deux parties d'egale longueur. 
Nous discuterons du schema de Feistel generalise ulterieurement. Dans 
20 notre exemple GO et DO sont done des mots binaires correspondant chacun 
a 5 digits. Dans cet exemple on a done A = B = 5, ou A est la longueur en 
digit du mot GO, et B est la longueur en digit du mot DO. 

Un mot en digits a une representation binaire en memoire. Cette 
representation est la plupart du temps une suite de quartets (4 bits), ou 
25 respectivement une suite d'octets (8 bits, pour le code ASCII). Chaque 
quartet, respectivement octet, correspond alors a un digit. Si nous 
considerons le cas de I'emploi de quartet, de maniere connue, la conversion 
d'un mot en digits en un mot en binaire se fait alors simplement par la 
juxtaposition des mots binaires correspondant a chaque digit. Ainsi 0 
30 correspond au quartet 0000, 1 au quartet 0001, 2 au quartet 0010, ... ainsi 

de suite jusqu'a 9 qui correspond au quartet 1001, Avec-ce -mode- de codage 

la conversion, binaire, par exemple, du mot en digits 12345 est le mot binaire 
00010010001101000101 compose de 5 quartets. 

II existe une autre maniere de convertir un mot en digits en un mot 
35 binaire, cette autre maniere est cede du mode de realisation prefere de 
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('invention. Cette autre maniere de conversion consiste a convertir un mot en 
digits en utilisant le mot binaire ayant la meme valeur decimale que le mot en 
digits lu. Ainsi le mot en digits 12345 est converti en un mot binaire 
correspondant a sa valeur decimale, soit le mot bina ire 1 10000001 11001 . 
5 A la fin de I'etape 202, on a done decoupe le mot M en digits en deux , 

motsG0-et-D0-binaires. Par exemple, si le mot- en-digits- est— 1234567890, 

alors GO est la conversion en binaire de 12345, et DO est la conversion en 

— binaire-de-67S9©r~~On passe alors -a -une-etape-202--ou~premier— tour— du \ 

schema de Feistel selon ('invention. 
10 Dans I'etape 202 on calcule un mot binaire G1 qui est en fait egal a 

DO. On calcule aussi un mot binaire D1 tel que D1 = GO ® F1(D0). Dans 
cette expression le symbole © correspond a un "ou exclusif" aussi connu 
sou s le no m de fon ction XOR. La foncti on F1 est la fonction de tou r du 
premier tour du schema de Feistel selon ('invention. De maniere generate, on 
15 note Fi la fonction de tour du i-eme tour du schema de Feistel s^lon 
['invention. La fonction Fi s'exprime par exemple comme suit: 
Fi(x) = <SHA_1(i||K||x||j)>(1). 

Dans cette expression SHA_1() est la fonction de hachage du meme 
nom. Dans la pratique on peut employer un autre algorithme de hachage 

20 comme MD5 par exemple. On peut aussi employer une autre fonction 
comme AES (Advanced Encryption Standard, pour standard de chiffrement 
avance), TDES (Triple Data Encryption Standard, pour triple standard de 
chiffrement de donnees). II s'agit la de fonctions pseudo-aleatoires standards 
de cryptographie sur des mots binaires. De maniere plus generate on peut 

25 employer n'importe quelle fonction ou fonction pseudo-aleatoire sur des bits. 

|) est un operateur de concatenation, K est la cle qui est lue dans la 
memoire 106, i est Pindice du tour de la fonction de Feistel. La notation < || j> 
signifie que Ton initialise j a 0, puis que Ton extrait les 17 bits de poids fort de 
la sortie de la fonction SHA_1. Si ces 17 bits correspondent exactement a 5 

30 digits, on garde cette sortie, sinon on augmente j d'une unite et on reevalue 

Itexpression-fl^-jusqu'a avoir cette propriete,- Gette-iteration-sur-j-correspond 

en fait a une .conversion d'un nombre binaire en nombre en digits. _Les mots 
d'entree des fonctions de tours sont done produits par la conversion de mots 
en digits en mots binaires. Les mots binaires de sortie des fonctions de tours 

35 sont done convertis en mots en digits. Pour que 17 bits correspondent 
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exactement a 5 digits, il faut que la conversion en decimal de ce mofde 17" 

bits s'exprime avec 5 chiffres. 

Le fait que I'on extrait 17 bits est lie au fait que I'on travaille avec des 

mots de 5 digitsde longueur. Plus particulierement cela est lie au fait que la 

5 fonction de tour consideree produit un mot de 5 digits. Dans la~p7aTique~ie ~ 

nombre de -bits extraits -est lie a la longueur du mot en digits produit par la 

consideration suivante: le nombre de bits extraits correspond a la longueur 
tfun -mot-birvaire-permettant-de- coder- la--plus-grande— va4eur— decteiale 

representable avec le nombre de digits du mot produit. Ainsi, avec 5 digits, la 
J_0 plus grande val eur d ecimale representable est 99 999. II faut 17 bits pour 

coder cette valeur en binaire. Si on considere, par exemple, un moTde 7 

digits, alors la plus grande valeur decimale representable est 9 999 999. 

D ans ce cas, il faut extraire 2 4 bits. Ce raisonne ment s'app lique a n'importe 

quel nombre de digits. 
15 Dans une variante, Iteration sur j s'arrete des que les bits extraits 

correspondent a une valeur decimale representable par le nombre de digits a 

produire par la fonction de tour. 

On rappelle ici que les mots traites ont une longueur de 5 digits car le 

mot M a une longueur de 10 digits et qu'il a ete separe en 2 mots de 5 digits 
20 chacun. 

La fonction decrite par I'expression (1) est non reversible, c'est a dire a 
sens unique, car elle met en ceuvre une fonction de hachage elle-meme non 
reversible. Non reversible signifie que I'on est incapable de determiner 
I'entree d'une fonction en connaissant sa sortie. D'une maniere generate 
25 I'irreversibilite de la fonction de tour est liee au fait que I'on extrait un certain 
nombre de bits de sa sortie, et done qu'il ne peut s'agir d'une bijection. 

A la fin de I'etape 203 on a done un mot M1 = [G1, D1]. On passe 
alors a une etape 204 de calcul d'un mot M2 = [G2, D2] avec G2 = D1, et D2 
= G1 © F2(D1). L'etape 204 est le deuxieme tour du schema de Feistel selon 
30 I'invention. L'etape 204 est identique a I'etape 203 si ce n'est que I'etape 204 

travaille sur- le mot M1 alors que I'etape 203 travaille-sur-le mot-M, : 

Dans le ca_s_general, dans un schema de Feistel, le i-eme tour produit 
un mot Mi = [Gi, Di] avec Gi = D M et D, = G M © Fi(D M ). 

Dans notre exemple on considere un schema de Feistel a 5 tours, 
35 done T vaut 5. Ainsi, apres I'etape 204 on effectue les troisieme et quatrieme 
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tours comme decrit pour le cas general. 

Lors du T-ieme tour, ici le cinquieme tour et I'etape 205, on produit un 
mot M T = [G T , D t ]. Avec GT = G T -i © F T (D T -i), et D T = G T -i. Le mot M T peut 
ainsi e tre utili se comme entree du schema de Feistel avec je cle K et on 
5 retrouvera en sortie le mot M de depart. Le mot Mr est le resultat du 

chiffrement-du mot M par le procede selon I'invention. A Ha fin de- I'etape-205; — : 

le mot M T est ecrit dans la memoire 105. Une ecriture resumee du procede 

- - selon-l-fnventien-est-d'ecrire; — — 

M T = Chi(M, K, T), 

10 exp ression qui doit etre lue comme Mr est le resultat du chiffrement 

(Chi) de M par le procede selon ('invention avec la cle K, et un nombre de 
tours egal a T. La fonction de dechiffrement est alors la meme, et on a: 

M = Chi(M T , K, T) 

La memoire 105 est lue via les circuits 108 ce qui permet d'utiliser le 

15 resultat du chiffrement. ' 

Dans notre exemple le schema de Feistel comporte T = 5 tours. Dans 
une mise en oeuvre preferee, le schema de Feistel comporte 6 tours. Dans la 
pratique on peut aller jusqu'a 30 tours. Cependant il faut savoir faire un 
compromis avec la rapidite d'execution. En effet, plus le nombre de tours est 

20 important, plus le temps de calcul croit. Dans la pratique 6 tours suffisent a 
se premunir contre toutes les attaques connues non basees sur la force 
brute. Avec la puissance de calcul disponible actuellement on peut monter 
jusqu'a 30 tours sans deteriorer sensiblement les temps de reponse d'un 
systeme mettant en ceuvre le procede selon Tinvention. Dans la pratique le 

25 nombre de tour T est done inferieur a 30. 

Dans I'exemple de la description on a considere que le mot M 
comporte 10 digits. Dans la pratique le mot M peut comporter un nombre 
impair de digits. Dans la pratique aussi on peut effectuer un decoupage non 
symetrique du mot M. Dans ces deux cas on met en oeuvre un schema de 

30 Feistel generalise, e'est-a-dire tel que A est different de B. On note que le 

cas A — B r est un cas partieulier-du schema generalise.- 

Considerons par exemple que M comporte N = 11 digits. Considerons 

alors que A vaut 5 et B vaut 6. On a bien N = A + B. On a aussi GO a une 
longueur de 5 digits et DO a une longueur 6 digits. A la fin du premier tour de 

35 la fonction de Feistel generalisee, on a 61 = DO comporte 6 digits, et D1 = 
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GO © F1(D0) comporte 5 digits! Dans, ce cas la fonction F1 travaille sur un 
mot d'une longueur de 6 digits pour produire un mot d'une longueur de 5 
digits et done on extrait 17 bits de la sortie de la fonction SHA_1, tel que 
precedemment decrit. " 
5 A la fin du deuxieme tour du schema de Feistel, on a G2 = Dl7 

comporte-5 digits. en-a-aussi D2 = G1 © F2(D1), comporte 6 digitsr-Dans-ee 
cas la fonction F2 travaille sur un mot d'une longueur de 5 digits pour 
produi r e un mot c fane-jengueur-de-6-digits ? -on extrait-dene-20-b tts do la sortie 
de la fonction SHA_1 selon les considerations deja vues. 

10 Dans le cas d'un schema de Feistel generalise, Je decoupage du mot 

a chiffrer n'est pas symetrique, les fonctions de tour ne travaillent done pas 
sur le meme nombre de digits selon que I'indice du tour est pair ou impair. 
Ain si lors des tours d'indi ce impair la fonction de tour du schema de Feistel 
travaille sur un mot de longueur B digits pour produire un mot de longueur A 

15 digits. Lors des tours d'indice pair, la fonction de tour du schema de Feistel 
travaille sur un mot de longueur A digits pour produire un mot de longueur B 
digits. 

D'une maniere generale A et B peuvent prendre des valeurs 
quelconques tant que A + B = N. Dans la pratique, on prefere decouper un 
20 mot en digits de maniere symetrique. Dans le cas ou N est pair cela ne pose 
pas de probleme, on a A = B = N/2. Dans le cas ou N est impair on pose 
alors que A vaut la partie entiere de N/2, alors que B vaut N - A. On a bien 
ainsi A + B = N. Avec ce mode de decoupage B n'est jamais superieur de 
plus d'une unite a A, et on a done un decoupage entier le plus proche 
25 possible d'un decoupage symetrique. 

Ce precede de chiffrement est utilise pour chiffrer des mots en digits 
couramment utilises. De tels mots sont des numeros de telephones (8 a 10 
digits), des numeros de cartes bleues (16 digits), des numeros de securite 
sociale (13 digits), des numeros de comptes en banques, des vouchers 
30 electroniques,..., la liste n'est pas exhaustive. De plus ces numeros peuvent 
-etre-concatenes- en -un-numero-plus grand de maniere-a- atteindre -un -mot- 
d'une longueur de 30 digits.., ., 

D'une maniere generale, avec le procede selon ("invention, plus le mot 
a chiffrer est long, e'est-a-dire plus N est grand, meilleure est la resistance a 
35 I'analyse cryptograph ique. 
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Pour un mot en entree, une cle de chiffrement donnee et un nombre 
de tours du schema de Feistei, on obtient toujours le meme mot chiffre. De 
maniere a renforcer le chiffrement et surtout a eviter les etudes de 
comp ortement basees sur un identifiant electronique, on peut concat ener un 
5 numero en digits a chiffrer avec un alea en digits. Par exempie, pour chiffrer'. 

un— numero de-telephone on le concatene d^bord— avecHe- nombre de 

secondes ecoulees depuis le debut de I'heure courante. On chiffre alors le 

resuftafde-eette-eoneatenation.-Ainsi on-n'obtient-que-tFes-Farefnefit-le-meme 

mot chiffre pour un numero de telephone donne. Le type d'alea utilise est 

10 quel conqu e, i l peu t par exempie aussi s'agi r d'un simple compteur 

augmentant a chaque utilisation, d'un nombre tire d'une suite pseudo- 
aleatoire precalculee, la liste n'etant pas exhaustive. 

Ains i parmi le s utilisations possibles du procede selon Tinventi on on 

cite la possibilite de chiffrer des informations entre leur emetteur et leur 
15 destinataire. On cite aussi la possibilite d'isoler deux reseaux Tun de Pstutre. 
Cette isolation est realisee, par exempie, par un serveur de I'operateur d'un 
premier reseau. Ce serveur transcode, avec le procede selon Tinvention, un 
identifiant du premier reseau pour produire un identifiant sur le deuxieme 
reseau. Ainsi les entites agissant sur le deuxieme reseau, a Texception de 
20 Poperateur du premier reseau, sont incapables d'identifier Tutilisateur du 
premier reseau. 

Uinvention s'applique done particulierement et tres avantageusement 
a la telephonie. Ainsi dans le cadre de la preservation de la vie privee des 
abonnes a un operateur de telephonie, et de la lutte centre le courrier non 
25 sollicite (aussi connu sous le nom de "spamrning"), tous les protocoles 
utilisent le MSISDN (Numero de telephone international d'un abonne), code 
sur 15 digits, comme identifiant de I'abonne et cette information peut alors 
etre detournee par le fournisseur de services dans le but d'etablir un profil de 
Putilisateur, ou dans le but d'emettre des messages non sollicites. On peut 
30 chercher a cacher cette valeur par chiffrement mais il faut alors que le 

resultat- soit-eempatible -avec le format des-protocoles- de-teleeommunieation 

et surtout queXoperateur puisse facilement le dechiffrer. Ces deux huts sont 
atteints avec le procede selon ['invention. 

Le cas du voucher electronique est egalement un bon exempie 
35 d'application de I'invention. L'interface au niveau d'un telephone mobile est 
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limitee au clavier numerique, "et done 1'utfiisateur est limite dans sa saisie a 
des digits. Dans le cadre de la generation d'un voucher electronique (un 
numero de voucher est equivalent a une valeur financiere, par exemple 30 

. .. euros), chaque_saisie_de voucher permet de crediter un compte. La gestion 

5 des vouchers chez le fournisseur de services est simplifiee si le genirateur 
de ces valeurs utilise-des algorithmes symetriques travaillant sur des digits- 
Un compteur defile de 1 a M, et le chiffrement du compteur fournit des 

donnees pseudo-aleateires-teutes-d+fferentes^ll-est-ainsi possible-de-genefer- 

des codes pseudo-aleatoires sur N digits, facilement gerables par le 
.19. _ fournisseur de s ervices car on ne stocke que la derniere valeur de compteur 
utilisee, et non pas toutes les valeurs de vouchers deja generees~pou7 
s'assurer de I'unicite de ceiles-ci. 

De _maniere generate, dans l es "grosses" bases de d onnees, Je_ 

stockage est fait en clair, la structure peut etre composee (formats non 
15 homogenes, numerique et alphanumerique) et les besoins de securite 
imposent un chiffrement. Dans ce cas egalement, un chiffrement par digit 
permet de proteger efficacement les donnees et ce, sans en modifier la 
structure, et pour un cout economique tres faible. 

Ces exemples de mise en oeuvre de I'invention ne limite pas les 
20 domaines d'application de I'invention. 
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REVENDICATIONS 

1 - Procede de generation d'une permutation pseudo-aleatoire d'un 
mot comportant N digits dans lequel: _____ 

- on met en oeuvre un schema de Feistel (202-205) generalise, 
caracterise en ce que: 

- les fonctions de tours du schema de Feistel generalise mis en oeuvre 
sont des-fonetions-(Fi) telles-que-t 

- ies mots d'entree des fonctions de tours sont produits par la 
conversion de mots en digits e n mot s binair es, 

- puis sur ces mots binaires est appliquee une fonction a sens 
unique, 

- enfin, la sortie en digits est une fonc tion de ces mots binaires. 

- on lit dans une memoire (104) un mot en digits a chiffrer, 

- le schema de Feistel generalise utilise comporte au moins T = 5 
tours. 

2 - Procede selon la revendication 1, caracterise en ce que la fonction 
a sens unique sur les mots binaires utilise une fonction pseudo-aleatoire 
standard de cryptographie sur des mots binaires 

3 - Procede selon Tune des revendications 1 ou 2 caracterise en ce 
que la fonction pseudo-aleatoire standard sur les mots binaires utilise la 
fonction SHA-1. 

4 - Procede selon Tune des revendications 1 a 3 caracterise en ce que 
le nombre de tours T du schema de Feistel est inferieur ou egal a 30. 

5 - Procede selon Tune des revendications 1 a 4, caracterise en ce 
que le nombre de tours T du schema de Feistel est egal a 6. 

6 - Procede selon Tune des revendications 1 a 5, caracterise en ce 
que lors des tours impairs du schema de Feistel la fonction de tour travaille 
sur un mot de longueur B, et lors des tours pairs du schema de Feistel elle 
travaille sur des mots de longueur A digits, ou A + B = N. 

7 - Procede selon la revendieation-6^earaeterise-en ce que A vaut la 

partie entiere de N / 2 et B vaut N - A. . . . . 

8 - Procede selon Tune des revendications 1 a 7, caracterise en ce 
que N est un nombre entier compris dans Tintervalle [7, 30]. 

9 - Procede selon Tune des revendications 1 a 8, caracterise en ce 
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que N est un nombre entier compris dans I'intervalie [10, 30]. 

10 - Procede selon I'une des revendications 1 a 8, caracterise en ce 
que N est un nombre entier compris dans I'intervalie [13, 30]. 
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